1.) VPN будет тоннелем, который кончается за одним из приспособлений. Так оно зависит где ваш тоннель кончается. Некоторые маршрутизаторы сами имеют установку для того чтобы отрегулировать движение VPN или пройти через движение VPN через приспособление и поэтому пойти вокруг NAT. Это обязательно по мере того как вы раскрыть несколько портов в всех приспособлениях NAT для того чтобы раскрыть VPN через NAT. В конце тоннеля, клиент поступает по мере того как было бы частью подсеть, где конец тоннеля VPN.
Если cisco/Netgear регулирует VPN, то клиент внутри сети 192.168.21.x или 192.168.22.x. От этого пункта, все обязательно порты должны быть открыты (должен быть оператор на приеме) на других приспособлениях.
Я не довольно уверен, как Linksys регулирует движение VPN, должно к факту, что это traffice не может быть нагрузкой сбалансированный. Так если клиенты соединяются через cisco, то, linksys должны послать назад все движение назад к cisco по мере того как netgear не знает что-нибыдь о тоннеле VPN.
От моей перспективы, тоннель VPN должен закончиться на ISA, по мере того как не будет потребности для дополнительных портов быть открыто к обслуживаниям подачи для клиента.
2.) Вашим вторым столбом говорит только, то там не будет обратная связь от приспособления. Если клиент подключает через VPN, то будет рукопожатие, где сервер и клиент регулируют вне детали соединения (т.е. удостоверение подлинности). Так или удостоверение подлинности терпит неудачу для любой причины, или пакеты потерянный по мере того как балансер loas может послать ее назад через другой маршрутизатор.
Если вы включаете пропуск PPTP до конца на Linksys, то вы имеете также сделать конечно, которые они пропускают через cisco или netgear. Если пропуск до конца позволен, то не будет обычно дополнительной потребности для дополнительных правил (может поменять от routewr к маршрутизатору, да ведь это чувство пропуска через установку).
Если ISA будет критическая точка, то вам нужно установить ISA для того чтобы позволить движение VPN. Вы можете испытать это с компьтер-книжкой, сперва соединяетесь к внешней поверхности стыка ISA, после этого к LinkSys и после этого до одно из третьих приспособлений. Эта дорога, котор вы находите вне, если ISA установлен правильно и которому приспособления имеют проблемы с тоннелем VPN.
Некоторые маршрутизаторы также имеют установку DMZ, которая намеревается что-то как пошлите всем к этому приспособлению (IP) и проигнорируйте все правила NAT. По мере того как каждое приспособление может иметь ограничения, вы открытые порты на всех приспособлениях между интернетом и вашей внутренне сетью. Но по мере того как закрын или раскрывает порт или, он не будет больше близко из-за 2 брандмауэров за одином другого.
3.) Вы намереваетесь с потерей движения от ISA/подсеть Linksys? Трасса пакета определена входным невыполнения обязательства. Но имеет также быть трасса назад. Если вы посылаете пакет от вашей внутренне сети и они приходят назад, то не будет причины почему возврат от другой стороны. ISA имеет как входной невыполнения обязательства Linksys, linksys должны отрегулировать его самого (как балансер нагрузки) и cisco/netgear получает их frokm входного ваши ISPs. Задняя трасса будет или NAT или установкой DMZ или любым видом правила препровождения. Cisco/Netgear препровождают к Linksys и Linksys препровождает к ISA.
4.) DMZ должно находиться между Linksys и ISA, но в той дороге, ISA работает обычно в режиме NAT.
5.) Я вышел бы приспособление Cisco и Netgear из объема. Вы имеете Linksys как external FW и ISA как внутренне (если необходимо). Так если по возможности, я как раз сказал бы, что cisco и netgear препроводил все к Linksys и воспрепятствовал бы фильтру Linksys движение. Как раз уменьшает проблемы конфигурации и дополнительн избегает запутанности о установках на этих приспособлениях.
Сводка:
Cisco: Входной невыполнения обязательства от ISP, точки отсчета DMZ к Linksys --> передне все к Linksys без фильтров
NetGear: эти же как Cisco
Основные фильтры позволены, но для целей испытание, disable все во-первых, после этого вы можете включить все step-by-step.
Основное фильтруя (нападение DOS, нападение DNS) содержание это далеко от других приспособлений.
Linksys: Маршрутизатор или NAT, dependend осуществило балансировать нагрузки --> Passthrough VPN
Если NAT, вы должен раскрыть внешние порты для ваших обслуживаний для того чтобы быть routet к ISA, но обычно не VPN, то по мере того как будет пропуском до конца.
В противном случае вы должны сказать, что Linksys препроводило все к ISA
Входной невыполнения обязательства отрегулирован балансером нагрузки.
ISA: Маршрутизатор или NAT (т.е. для DMZ), критическая точка VPN
Входной невыполнения обязательства будет Linksys (на NIC external, внутренне будет пуста)
Если NAT, раскрывает все порты, то (опубликовывая правило с оператором на приеме) которые необходимы для обслуживаний от external к внутренне
Если направляющ, определите правила доступа от externbal к внутренне.
Движением от внутренне к external будет все время правило доступа. Однако правило только позволяет, определено как протокол.
ISA преграждает все определенные протоколы вообще.
VPN не нужны дополнительные правила в ISA по мере того как они будут установленным правилом доступа (2004/2006) или по мере того как система управляет (TMG) через конфигурацию VPN.
Будет правило a (доступа simpel) заявляет клиентов VPN к внутренне/LocalHost (назад к интернету!!)
Отношением сети невыполнения обязательства для VPN будет трасса (по мере того как критическая точка внутренне)
Отношением сети невыполнения обязательства общительным будет NAT, но клиенты VPN не включенны (!!).
